用語集
FIDO
FIDO(Fast IDentity Online)は、さまざまな課題をもつパスワードへの依存を軽減し、解決するために設立された501(c)6非営利団体です。
AAGUID
認証器アテステーション(Authenticator Attestation)GUID(Global Unique Identifier)。認証器アテステーショングローバル一意識別子を参照してください。
AAID
認証器アテステーション(Authenticator Attestation)ID。認証器アテステーションIDを参照してください。
アクセシビリティ適合性レポート(ACR)
自主的製品アクセシビリティテンプレート(ITI VPAT)をベースにしたソフトウェア、ハードウェア、電子コンテンツ、サポートドキュメントなどの情報通信技術(ICT)製品のITアクセシビリティに関する改訂版508の標準への準拠状況を説明するドキュメント。
アプリケーション
共通エンティティ(アプリケーション所有者、サービス事業者とも呼ばれる)によって提供され、ユーザーによって同類だと認識される機能の一式。
アテステーション
製造時にデバイスに焼き付けられるデバイスモデル固有の鍵ペア。FIDOのコンテキストにおけるアテステーションとは、認証器が自身に関するアイデンティティを主張する方法であり、暗号的に検証してメタデータサービス内で検索可能なものを指します。
認証器証明書
(認証器)証明鍵に関連する公開鍵証明書。
アテステーション公開鍵 / アテステーション秘密鍵
FIDO認証器アテステーションに使用される公開・秘密鍵のペア。「公開鍵暗号(方式)」も参照してください。
認証器ルート証明書
認証器証明書がチェーンされ、FIDOアライアンスによって明示的に信頼されているルート証明書。
認証
認証とは、ユーザーが自身のFIDO認証器を用いて登録済みの鍵を処理していることをサービス事業者に証明するプロセスを指します。
認証アルゴリズム
認証器からサービス事業者への認証に使用される署名とハッシュアルゴリズムの組み合わせ。
認証スキーム
応答作成時に認証器が使用する認証アルゴリズムとメッセージ構文またはフレーミングの組み合わせ。その手段、方式。
認証器(Authenticator)
FIDO認証器を参照してください。
認証器、1stF / 第1要素
ユーザー名に加えて、暗号鍵マテリアル(所有要素)とユーザー検証(知的要素/生体要素)といった2つ以上の認証要素をまとめて提供し、単独で使用して認証を完了できるFIDO認証器。
このような認証器には内部に照合器があることが想定されています。この照合器はすでに(入力された情報と)登録済の情報を照合して、ユーザーを検証できます。複数人のユーザーが登録されている場合、照合器は適切なユーザーを識別することもできます。
このような認証器の例には、生体認証センサーやPINベースの検証があります。物理ボタンなどの存在のみを検証する、あるいはまったく検証を行わない認証器は第1要素認証器として機能できません。
認証器、2ndF / 第2要素
第2要素としてのみ機能するFIDO認証器。第2要素認証器は sign
コマンドに応答する前に常に単一の鍵ハンドルの提供を要求します。ユーザー検証の手段がある場合とない場合があります。このような認証器には内部照合器がある場合とない場合が想定されています。
認証器アテステーション
認証器の登録時に提供された鍵が検証済みの特性を持つ本物の認証器によって作成され、保護されているという暗号アサーションをサービス事業者に通知するプロセス。
認証器アテステーショングローバル一意識別子(AAGUID)
登録時に新たに作成された公開鍵と一緒にサービスに送信されるデバイスのモデルを表す128ビットの一意識別子。この一意識別子はFIDOメタデータサービス(MDS)などのサービスでメタデータ表明を検索するために使用できます。
すべて同じ特性を共有するFIDO2認証器のモデル、クラス、またはバッチに割り当てられ、サービス事業者がデバイスのアテステーション公開鍵と認証器メタデータを検索するのに使用できる一意識別子。
認証器アテステーションID(AAID)
すべて同じ特性を共有するFIDO UAF認証器のモデル、クラス、またはバッチに割り当てられ、サービス事業者がデバイスのアテステーション公開鍵と認証器メタデータを検索するのに使用できる一意識別子。
認証器メタデータ
認定認証器の特性に関する検証済みの情報で、認証器アテステーションID(AAID)に関連付けられ、FIDOアライアンスから提供されます。FIDOサーバーは特定の認証器と対話できるよう、最新のメタデータにアクセスできることが期待されます。
認証器モデル
metadataStatement
内に同じAAID、AAGUID、または少なくとも1つの共通する attestationCertificateKeyIdentifier
を持つ認証器の一式。
認証器ポリシー
特定の操作での使用が許可または不許可になっている機能または特定の認証器をサービス事業者がFIDOクライアントに通知することを可能にするJSONデータ構造。
生体認証
指紋などの一意な人間の特性や特徴に関連する身体測定と計算で、コンピュータサイエンスではアクセス制御を行うために本人確認の一形態として使用されます。
Bluetooth Low Energy(BLE)
Bluetooth Low EnergyはClassic Bluetoothとほぼ同等の通信範囲を確保しつつ、電力消費とコストを大幅に削減します。
FIDOの認証器/認証とASMが一体化したもの
アクセス制御メカニズムを使用して登録済みの鍵の使用を信頼済みクライアントや信頼済みFIDOユーザーデバイスに制限するFIDO認証器、または認証器とASM(Authentiator-specific Module)の組み合わせ。ローミング認証器と比較してください。
証明書
デジタル証明書は、暗号や公開鍵インフラストラクチャ(PKI)の使用を通じてデバイス、サーバー、またはユーザーの真正性を証明するファイルまたは電子パスワードです。
公開鍵証明書としても知られており、公開鍵の所有権とそれを所有するエンティティを暗号的にリンクするのに使用されます。
クライアント
サーバーが提供するサービスへのアクセスを要求する任意のコンピュータハードウェアまたはソフトウェアデバイス。 この用語はコンテキストに応じて使用され、FIDO UAFクライアントを指す場合もあれば、TLSクライアントなどの他の種類のクライアントを指す場合もあります。FIDOクライアントを参照してください。
認証資格情報
識別子と認証情報の単位との関連を移植可能な形式で表現し、システムへのアクセスを試行するエンティティが主張するアイデンティティの検証に使用するために提示できるデータオブジェクト RFC4949。
FIDOのコンテキストでは、この関連は暗号的に検証可能です。
登録解除
サービス事業者がFIDO認証器に特定のサービス事業者アカウントに関連付けられたローカル管理の鍵マテリアルの特定部分(またはすべて)を忘れるように通知し、対象となる鍵が無効になったとサービス事業者に認識させるためのFIDOプロトコルのフェーズ。
デバイス固定パスキー
単一のデバイスのみに保存され、使用されるパスキー。
発見
利用可能な認証器に関するメタデータを含め、サービス事業者がクライアントのデバイスでのFIDO機能の利用可否を判断できるFIDOプロトコルのフェーズ。
E(K、D)
データDを鍵Kで暗号化することを意味します。
ECDAA
楕円曲線ベースの直接匿名アテステーションを参照してください。
ECDSA
「楕円曲線デジタル署名アルゴリズム(ECDSA)」を参照してください。
楕円曲線ベースの直接匿名アテステーション(ECDAA)
楕円曲線ベースの直接匿名アテステーション。ECDAAは、FIDOの基本アテステーションに代わるアテステーション方式です。楕円曲線と双線形ペアリングをベースにして改善された直接匿名アテステーション方式です。直接匿名アテステーション方式では、グローバル相関ハンドルを回避しながら認証器内の個々の秘密鍵が使用されます。ECDAAは元のDAA方式よりも大幅にパフォーマンスが向上しています。FIDO ECDAA [FIDOEcdaaAlgorithm] は、さまざまなFIDOサーバーとFIDO認証器間で相互運用可能なECDAAの実装につながるオブジェクトエンコーディング、ペアリングフレンドリー曲線などを定義します。
楕円曲線デジタル署名アルゴリズム(ECDSA)
ANSI X9.62 [ECDSA-ANSI]で定義されている通りの楕円曲線デジタル署名アルゴリズム。
登録
ユーザーを認証器に認識させるプロセス。これは、[ISOBiometrics]で定義されている通りの生体認証登録である場合もあれば、非生体認証暗号ストレージデバイスの所有権を取得やそれに対するPINやパスワードの設定などのプロセスが含まれている場合もあります。登録はFIDOプロトコルの一環として発生する場合もあれば、多目的認証器の場合はFIDOのコンテキスト外で発生する場合もあります。
エンタープライズアテステーション
エンタープライズアテステーションは認証器ごとに一意のアテステーションで、以下のいずれかをサポートするために構成される場合があります。
- ベンダーが推進するエンタープライズアテステーション(EAモード1とも呼ばれる): この場合、認証器ベンダーはエンタープライズアテステーションの要求を許可されたRPに対し、エンタープライズの要求に応じてRP IDの(更新不可能な)リストを認証器に事前構成します。
- プラットフォーム管理のエンタープライズアテステーション(EAモード2とも呼ばれる): この場合、エンタープライズが管理するプラットフォーム/ブラウザはローカルポリシーの参照などによってエンタープライズアテステーションの要求が許可されているRPを把握します。
顔またはタッチロック解除
スマートフォンやノートパソコンなどのデバイスに組み込まれた認証で、指紋認証や顔認証を使用してユーザーのアイデンティティを確認します。
FIDO認証器
FIDOアライアンスの要件を満たし、関連メタデータを持つ認証エンティティ。
FIDO認証器はユーザー検証を担っており、サービス事業者認証に必要な暗号マテリアルを保持しています。
FIDO認証器はFIDOアライアンスプロトコルに参加している場合、およびそれに関連している場合にのみ考慮されることに注意してください。FIDOアライアンスは多種多様な既存および将来のハードウェアを使用することを目指しているため、FIDOに使用される多くのデバイスは他の主な用途あるいは二次的な用途がある可能性があります。非FIDOプロトコルによるローカルのオペレーティングシステムのサインインやネットワークサインインといった非FIDOの目的でデバイスが使用される限り、FIDO認証器とは見なされず、かかるモードでの動作はセキュリティやプライバシーに関連するものを含め、FIDOアライアンスのガイドラインや制限の対象にはなりません。
FIDO認証器は単に認証器と記載されることも、authnr と略記される場合もあります。認証器の機能とユーザーエクスペリエンスは、ローミング認証器とFIDOの認証器/認証とASMが一体化したもののどちらであるか、第1要素と第2要素のどちらであるかによって重要な違いがある場合があります。
登録アサーション方式では、認証器が(認証器)証明鍵によって署名されるデータを排他的に制御できることが想定されています。
認証器は、自身がUauth鍵によって署名されているデータを排他的に制御できるかどうかをメタデータ表明で指定します。
FIDOクライアント
これは、FIDOユーザーデバイス上のプロトコルメッセージを処理するソフトウェアエンティティです。FIDOクライアントは以下の2つの形式のいずれか1つを取ります。
ユーザーエージェント(ウェブブラウザかネイティブのアプリケーション)に実装されたソフトウェアコンポーネント。 複数のユーザーエージェント(ウェブブラウザかネイティブのアプリケーション)によって共有されるソフトウェアの単独構成要素。
FIDOデータ / FIDO情報
FIDOトランザクションを完了する中で収集または作成される任意の情報。これにはユーザーの生体測定または参照データとFIDOトランザクション履歴が含まれますが、これらに限りません。
FIDOサーバー
主にWebAuthnを実装するサービス事業者のインフラストラクチャに導入されるサーバーソフトウェア。
FIDOユーザーデバイス
FIDOクライアントが動作し、ユーザーがFIDOを使用する操作を開始するコンピューティングデバイス。
鍵識別子(KeyID)
KeyIDは、第1要素認証器用に認証器がFIDOサーバーを使用して登録する鍵の不透明な識別子です。必要な鍵を保持している特定の認証器を識別するためにAAIDと一緒に使用されます。そのため、鍵識別子はAAIの範囲内で一意である必要があります。
たとえば、KeyIDがASMによって管理される keyHandle
のSHA256ハッシュであるという実装が考えられます。
鍵ハンドル
FIDO認証器によって作成される鍵コンテナで、秘密鍵と(必要に応じて)他のデータ(username
など)を含みます。鍵ハンドルはラップされる(認証器が認識している鍵のみを使用して暗号化される)場合も、ラップされない場合もあります。ラップされない形式では、未加工の鍵ハンドルとして記載されます。第2要素認証器が機能するには、その鍵ハンドルをサービス事業者から取得する必要があります。第1要素認証器は内部的に(ローミング認証器の場合)、または関連付けられたASMを使用して(プラットフォーム認証器の場合)自身の鍵ハンドルのストレージを管理します。
鍵登録
FIDOサーバーとFIDO認証器の間で鍵を安全に確立するプロセス。
メタデータサービス
FIDO認証器のメタデータ表明を提供するサービス。
FIDOアライアンスはFIDOメタデータサービスに関するメタデータ表明を公開しています。
近距離無線通信(NFC)
デバイスで有効になっており、複数のデバイスが接触している、または互いに数センチメートルの範囲内にある場合にそれらを通信可能にする短距離無線接続技術。
ワンタイムパスワード(OTP)
ユーザーがオンラインでログインする際や、ある操作を追加のセキュリティレイヤーとして確認する際にそのユーザーのアイデンティティを検証するために使用されます。OTPは数字または英数字のコードを携帯電話番号に送信する安全な認証手段です。ユーザーは受け取ったコードを応答として入力する必要があります。
オープン認証(OAuth)
ウェブサイトやアプリケーションがユーザーの代わりに他のウェブアプリがホストするリソースにアクセスできるように設計されたオープンな標準規格。アプリケーションに安全な指定アクセスの機能を提供します。ユーザーはOAuthを使用することで、ウェブサイトやアプリケーションに自身の情報にアクセスする権利をパスワードを共有することなく付与できます。
動作環境
アプリケーションの実行をサポートするのに必要な機能(コンピューティング、メモリ管理、入出力など)を提供するハードウェアおよびソフトウェアコンポーネント(ハードウェアの処理装置や物理メモリなど)の一式。
パスキー
パスキー はFIDO標準ベースのFIDO認証認証資格情報で、ユーザーが自身のデバイスをロック解除するのに使用しているのと同じ手順(生体認証、PIN、またはパターン)を使用してアプリやウェブサイトにサインイン可能にするものです。パスキーを使用した場合、ユーザーはユーザー名とパスワード、あるいは追加の要素を入力する必要がなくなります。
パスキー という言葉は普通名詞であり、パスワード に言及する場合と同じように考えてください。文頭やタイトルで使用する場合を除き、小文字で記載する必要があります(英語で記載する場合)。パスキーという用語は特定のプラットフォームに関連付けられた機能ではなく、クロスプラットフォームな一般的に使用される用語です。
パスワード
パスワードは認証プロセスで使用される秘密の単語、フレーズ、または文字列であり、コンピュータシステムやサービスへのアクセスを許可する前に認証済みのユーザーまたはプロセスを検証するために使用されます。
障がい者(PwD)
障がいのあるすべての人に適用するために使用される用語。この用語には長期にわたる身体的、精神的、知的、または感覚障がいを持ち、さまざまな態度および環境的によるバリアと関わり、他の人と平等に社会に完全かつ効果的に参加することを妨げられている方が含まれます。
公開鍵暗号(方式)
公開鍵暗号(方式)で使用され、2つの異なる鍵を組み合わせてデータの暗号化または署名を行う手段。公開鍵は誰でも使用できるように公開されますが、もう一方の鍵は秘密鍵となります。公開鍵で暗号化されたデータは秘密鍵でのみ復号できます。
公開鍵インフラストラクチャ(PKI)
デジタル証明書の作成、配布、管理、保存、破棄、および公開鍵暗号化の管理に必要なすべて(ソフトウェア、ハードウェア、ポリシー、および手続)。
PwD
「障がい者(PwD)」を参照してください。
QRコード
「高速応答(QR)コード」を参照してください。
高速応答(QR)コード
情報が格納されたマトリクス型2次元コードで、携帯電話などのデジタルデバイスで読み取り可能です。
登録
サーバーによって定められたポリシーと、認証器と登録がそのポリシーに合致している許容可能なアテステーションに従ってユーザーが新しい鍵マテリアルを生成し、サービス事業者のアカウントに関連付けるFIDOプロトコルの動作。
登録手段(方式)
登録手段(方式)は、FIDOサーバーとFIDO認証器の間で(FIDO)認証(秘密)鍵がどのように交換されるかを定義します。
サービス事業者(RP)
FIDOプロトコルを使用してユーザーを直接認証する(すなわち、ピアエンティティ認証を行う)ウェブサイトやその他のエンティティ。FIDOがフェデレーションアイデンティティ管理プロトコル(SAMLなど)を使用して構成されている場合、アイデンティティプロバイダーもFIDOサービス事業者の役割を果たすことに注意してください。
たとえば、ユーザーに自身の認証資格情報を使用するログインを要求するウェブアプリケーションはユーザーのアイデンティティを検証する認証プロセスに依拠しているため、サービス事業者です。
ローミング認証器
単一のプラットフォームに関連付けられておらず、それ故に複数デバイスでの認証に使用できる認証器。
FIDOローミング認証器は、以下の方法で確立された信頼関係のないさまざまなFIDOクライアントとFIDOユーザーの間を移動するように構成されています。
自身の内蔵ストレージのみを登録に使用する APIレイヤーでアクセス制御メカニズムなしで登録済みの鍵を使用可能にする。(その場合でもローミング認証器はユーザー検証を行います。)
FIDOの認証器/認証とASMが一体化したものと比較してください。
セキュリティキー
ユニバーサルシリアルバス(USB)や近距離無線通信(NFC)を通して接続し、複数のプラットフォーム、ブラウザ、アプリケーションにわたって認証を実現するハードウェアデバイス。
サーバーチャレンジ
FIDOサーバがUAFプロトコルのリクエスト内で提供するランダムな値。チャレンジ応答認証中に片方の当事者が提示する質問で、もう片方の当事者に回答付きで応答してもらうために送信されます。
ショートメッセージサービス(SMS)
携帯電話で標準化された通信プロトコルを使用した短いテキストメッセージを交換することを可能にするサービス。
サイドチャネル攻撃
ブルートフォースや基本的なアルゴリズムの理論上の脆弱性ではなく、暗号システムの物理的な実装から取得された情報に基づく攻撃。たとえばタイミング情報、電力消費、または電磁気の放射が付加的な情報源となり、システムを攻撃するために悪用される場合があります。
署名済みデータ
signedData
オブジェクトは認証器の sign
コマンドの結果として認証器によって作成され、返されます。署名操作に入力された署名対象データは、返される signedData
オブジェクトの中で未加工の値またはハッシュ値として表現されます。signedData
オブジェクトには認証器とそのモードに関する一般的な情報、ノンス、認証器固有の暗号化アルゴリズム、および使用カウンターに関する情報も含まれます。signedData
オブジェクトはサービス事業者固有の UAuth.priv
鍵を使用して署名されます。
サイレント認証器
ユーザーにプロンプトを表示しない、あるいは任意のユーザー検証を行わないFIDO認証器。
ステップアップ認証
認証済みのセッションに加えて行われる認証。
例: ユーザーがユーザー名とパスワードを使用して最初にセッションを認証した後、ウェブサイトがこの認証済みのセッションに加えてFIDO認証を要求する。
ステップアップ認証は重要性の高いリソースが要求された場合などに要求されます。
FIDO U2Fは常にステップアップ認証として使用されます。FIDO UAFはステップアップ認証として使用されることもありますが、最初の認証メカニズムとして使用されることもあります。
一般的に、ステップアップ認証方式自体が初回の認証よりも強力であるということは示唆されていません。ステップアップ認証は既存の認証に加えて行われるため、組み合わされた認証の結果的な強さは向上する可能性が高いですが、低下することはありません。
同期パスキー
単一ユーザーが所有し、複数デバイス間でクラウドサービスを介して同期されるパスキー。
ユーザープレゼンスのテスト
「ユーザープレゼンスチェック」を参照
タイムベースドワンタイムパスワード(TOTP)
現在時刻を一意性のソースとして使用し、ワンタイムパスワード(OTP)を生成するコンピュータアルゴリズム。
タッチロック解除
「顔またはタッチロック解除」を参照
取引確認(認証)
サービス事業者がFIDOクライアントと適切な機能を持つ認証器にユーザーへ情報を表示することを要求し、ユーザーに自身のFIDO認証器に対してローカル認証を行ってその情報を確認し、従前に登録した鍵マテリアルの所有証明と確認のアテステーションをサービス事業者に返すことを要求できるようにするFIDOプロトコルの動作。
トランスポートレイヤーセキュリティ(TLS)
インターネット上で送信されるデータを暗号化し、コンピュータネットワーク上の通信の安全を確保する暗号化プロトコル。
UI
「ユーザーインターフェイス(UI)」を参照
ユニバーサル認証フレームワーク(UAF)
幅広いデバイスやプラットフォームで安全な生体認証を可能にする仕様。これにより、オンラインサービスプロバイダーのユーザーはパスワードなしでサインインできるようになります。
UAuth.pub / UAuth.priv / UAuth.key
FIDO認証器が生成するユーザー(FIDO)認証(秘密)鍵。UAuth.pub
は鍵ペアのうち、公開鍵となるものです。UAuth.priv
は秘密鍵です。UAuth.key
は UAuth.priv
を指すより一般的な表記です。
ユーザー
サービス事業者のユーザーとFIDO認証器の所有者。
ユーザーエージェント
ユーザーエージェントは、クライアントサーバーシステムでユーザーに代わって動作するクライアントアプリケーションです。ユーザーエージェントの例には、ウェブブラウザやモバイルアプリが挙げられます。
ユーザーエージェントアクセシビリティガイドライン(UAAG)
W3C Web Accessibility Initiativeが公開している一連のアクセシビリティガイドラインの一部。このガイドラインでは、ユーザーエージェント(ブラウザ、ブラウザの拡張機能、メディアプレーヤー、リーダー、およびウェブコンテンツを表示するその他のアプリケーション)を障がいを持つ人が利用できるようにする方法が説明されています。
ユーザーインターフェイス(UI)
人間と機械の対話が発生するデバイス上の空間。ディスプレイ画面、キーボード、マウス、デスクトップの外観が含まれます。
ユーザープレゼンスチェック
ユーザープレゼンスは、ユーザー(自然人)がいることを明示的に示すジェスチャーを取得することとして定義されます。たとえば、ボタンを押す、タッチスクリーンやタッチパッドにタッチする、指紋センサーに触れるなどのユーザーによる意識的な操作が挙げられます(ただし、デバイスの注視やEKGのチェックなどの受動的な生体認証は含みません)。
ユーザー検証
ユーザー検証は、一般的には人間である特定のユーザーが何らかの入力を行い、認証器がそれによって特定の人物であることを認識できることを検証することとして定義されます。この入力は一般的にはユーザーの知識要素または生体要素(生体情報)に限られます。この定義は複数の手段を組み合わせた多要素認証ではなく、主に単一の手段を指すために使用されます。たとえば、PIN、パスワード、指紋が挙げられます。
ユーザー検証トークン
ユーザー検証トークンは認証器によって生成され、ユーザー検証が成功した後にASMへ渡されます。このトークンがない場合、ASMは register
や sign
のような特殊コマンドを実行できません。
ユーザー検証トークンのライフサイクルは認証器によって管理されます。このようなトークンの生成とそのライフサイクルの管理に使用される具体的な技術はベンダー固有のものであり、標準は定められていません。
ユーザー名
サービス事業者側のユーザーアカウントを識別する人間が読める文字列。
検証要素
ローカルユーザー検証を実現するための具体的な手段。たとえば、指紋、声紋、PINが挙げられます。
これもモダリティとして認識されます。
ボイスオーバーインターネットプロトコル(VoIP)
インターネットを使用して電話やビデオ通話を実現可能にするルールの一式。
ウェブ認証(WebAuthn)
W3Cが提供している公開鍵認証資格情報にアクセスするためのAPIの仕様。WebAuthnは、ユーザーが生体認証(指紋または顔認証など)やハードウェアベースの認証器(USBまたはNFCトークンなど)といった各種の認証手段を使用してオンラインサービスやウェブサイトに安全にログインするのを容易にします。FIDO2プロジェクトの基本コンポーネントです。
ウェブコンテンツアクセシビリティガイドライン(WCAG)
ウェブコンテンツのアクセシビリティ向上に関する幅広い推奨事項を網羅したガイドライン。